码迷,mamicode.com
首页 > 其他好文 > 详细

BGP2

时间:2019-08-17 12:41:18      阅读:135      评论:0      收藏:0      [点我收藏+]

标签:route   工作   业务   tcp   反射   work   port   需要   网络安全   

技术图片

某公司网络如实验拓扑所示,R4、R5、R6、R7为公司总部路由器,R1与R3分别为公司两个不同分支机构路由器,R2为运营商的网络设备,在R1与R3上分别设有不同的业务网段,其中192.168.10.0/24与172.16.10.0/24为业务A所用网段,192.168.20.0/24与172.16.20.0/24为业务B所用网段。两个不同分支机构与总部间都设有专线,使得两分支机构上的业务网段既可以通过运营商的设备实现访问,也可以通过专线,经由总部设备实现访问。请根据如下需求对网络进行部署: 

1. 按照拓扑搭建网络,在所有AS间使用直连接口建立EBGP邻居关系

R1多加两个环回口

interface LoopBack2
ip address 192.168.10.1 255.255.255.0
#
interface LoopBack3
ip address 192.168.20.1 255.255.255.0

R3多加两个环回口

interface LoopBack1
ip address 172.16.10.3 255.255.255.0
#
interface LoopBack2
ip address 172.16.20.3 255.255.255.0

 

R1<=>R2 /R1<=>R4/R2<=>R3/R3<=>R6(都做)

以R1<=>R2为例:

R1:

#bgp 100

  #peer 10.0.12.2  as-number 200

R2:

#bgp 200

  #peer 10.0.12.1 as-number 100

2. 在公司总部AS400中,R4与R5,R5与R7,R7与R6,R6与R4间使

用环回接口建立IBGP邻居关系,IGP协议使用OSPF

注意使用环回接口建立邻居时需要额外配置命令。  

R4<=>R5/R5<=>R7/R7<=>R6/R6<=>R4(都做)

R4<=>R5为例:

R4:

ospf 1 router-id 10.0.4.4

 area 0

  net 10.0.4.4 0.0.0.0

  net 10.0.45.4 0.0.0.0

  net 10.0.46.4 0.0.0.0

bgp 400

 peer  10.0.5.5 as-number 400

 peer 10.0.5.5 connect-interface loopback 0

 peer 10.0.6.6 as-number 400

 peer 10.0.6.6 connect-interface loopback 0

 peer 10.0.14.1 as-number 100

R5:

ospf 1 router-id 10.0.5.5
 area 0.0.0.0
  network 10.0.5.5 0.0.0.0
  network 10.0.45.5 0.0.0.0
  network 10.0.57.5 0.0.0.0

bgp 400
 peer 10.0.4.4 as-number 400
 peer 10.0.4.4 connect-interface LoopBack0
 peer 10.0.7.7 as-number 400
 peer 10.0.7.7 connect-interface LoopBack0

3. 所有业务网段,与所有设备上的Loopback 0所在网段都能通过BGP路由实现互相访问

R1与R4/R3与R6Z之间分别配置静态路由使EBGP与Ibgp互通

R1与R4为例

R1:

ip route-static 10.0.4.4 255.255.255.255 10.0.14.4

R4:

ip route-static 10.0.1.1 255.255.255.255 10.0.14.1

只宣告自己的环回口网段:

R1:(R2/R3/)

bgp 100

   network 10.0.1.1 255.255.255.255 

  network 192.168.10.0 

  network 192.168.20.0

ospf注入bgp中

R4:

bgp 400

  import-route ospf 1

R6:

bgp 400

  import-route ospf 1

修改R4/R5/R6/R7上的下一跳地址

R4:

bgp 400

  peer 10.0.5.5 next-hop-local

  peer 10.0.6.6 next-hop-local

R5:

  bgp 400

  peer 10.0.4.4 next-hop-local

  peer 10.0.7.7 next-hop-local

 

4. 为了使网络资源能充分得到利用,要求业务网段A的流量通过运营商设备转发,业务网段B的流量通过专线转发

理解BGP AS-path属性原理,做适当修改。

MED用于BGP在连接到外部AS时控制流量进来的方向,默认只在同一AS内比较,但是可以通过命令来修改来实现在不同AS间比较MED值。其中MED越小越优先,BGP可以对邻居发送或接受的路由做适当修改。

理解BGP MED属性原理,熟练掌握相关配置方法,并作适当修改。

R2:

acl number 2002
   rule 5 permit source 172.16.20.0 0.0.0.255

route-policy as permit node 5
   if-match acl 2002
   apply as-path 300 additive   (修改as-path)
route-policy as permit node 20

bgp 200

  peer 10.0.12.1 route-policy as export
acl number 2004
   rule 5 permit source 192.168.20.0 0.0.0.255

route-policy med permit node 10
   if-match acl 2004
   apply cost 300  (修改med值)

bgp 200

   peer 10.0.23.3 route-policy med export

注:

在R2做,修改MED值。

在R3写入强制引入才可生效:(此ACL抑制192.168.20.0所以在R3强制若抑制172.16.20.0则在R1写)

[R3]compare-different-as-med

R3上修改med值

技术图片

R1上查看as-path

技术图片

追踪:

技术图片

 

5. 网络管理员进行定期线路检查,现通过适当调整IGP的链路开销值,使得所有经过总部AS的流量都沿着R4-R5-R7-R6路径转发

基于IBGP的水平分割原则,R5将无法学习到172.16.20.0这个业务网段,R7将无法学习到192.168.20.0这个业务网段,此时可以选择将BGP路由引入到OSPF,通过IGP协议让R5和R7学习业务网段。

OSPF在引入BGP做为外部路由时,其它OSPF路由器默认选择距离ASBR最近的链路,此时可以通过修改接口Cost来修改路径,默认接口Cost为1。

注意:注入时,不要把bgp注入到ospf中,在第6步有影响

让192.168.20.0/24和172.16.20.0/24沿着R4-R5-R7-R6路径转发

原本都是走R4 R6

修改R4和R6的cost值,不用acl列表,进端口配置就可以

在R4:

interface GigabitEthernet0/0/1

 ospf cost 100

在R6:

interface GigabitEthernet0/0/1

 ospf cost 100

在R1:

 技术图片

技术图片

 

6. 网络管理员在检查中发现业务网段B的流量非常大,决定将业务网段B的流量单独沿着R4-R6路径转发(要求BGP路由选路与实际转发路径一致)

BGP由于IBGP的水平分割,所以IBGP邻居无法正常传递路由,这里可以使用全互联或者路由反射器等技术来实现,常用的为路由反射器。

由于BGP的默认路由优先级为255,而OSPF为150,此时必须强制降低BGP的路由优先级以便选路。

深入理解BGP选路规则与路由反射器的特性,分析路由表现象,结合路由策略进行配置.

反射器:

R5:

bgp 400

  reflector cluster-id 1

  peer 10.0.4.4 reflect-client
  peer 10.0.7.7 reflect-client

R7:

bgp 400

  reflector cluster-id 2

  peer 10.0.5.5 reflect-client

  peer 10.0.6.6 reflect-client

方法一:  

R4:

acl number 2000
   rule 5 permit source 192.168.20.0 0.0.0.255

route-policy local permit node 10
   if-match acl 2000
   apply ip-address next-hop 10.0.46.4
#
route-policy local permit node 20

bgp 400

peer 10.0.6.6 route-policy local export

R6:

acl number 2000
   rule 5 permit source 172.16.20.0 0.0.0.255

route-policy local permit node 10
   if-match acl 2000
   apply ip-address next-hop 10.0.46.6
route-policy local permit node 20

bgp 400

   peer 10.0.4.4 route-policy local export

方法二(此方法可能不太可行):

R4和R6都做

bgp 400

preference 100 100 100

技术图片

技术图片

技术图片

 

7. 公司总部网络将进行改造,在不改变原有配置的基础上,通过增加少量配置实现,R5与R7不参与BGP路径选择

BGP在需要短暂中断邻居会话且该邻居配置量较大时,通过执行命令peer ignore可以避免重新配置的工作量。例如,在一段时间内,对端升级或调整链路导致邻居频繁建立连接时,为了避免路由或邻居关系频繁震荡,需要暂时中断BGP邻居,则可以在较稳定的一端使用该命令。

BGP是基于TCP的三次握手机制建立邻居的路由协议,在建立过程中会由一方主动发起TCP连接,如果双方都不主动发起请求,则TCP建立失败,邻居无法建立。

使用peer listen-only命令配置对等体的连接方式为对等体仅检测连接请求,而不主动发送连接请求,必须两端同时开启才生效。

R4:(R6)

bgp 400

  peer 10.0.5.5(10.0.7.7) ignore

   技术图片

技术图片

 

 

8. 通过配置团体属性使得AS 200中不接收192.168.20.0/24该业务网段的路由

这里可以通过设置BGP的公认属性来限制路由的传递,包括Internet、No-advertise、No-export、No-export-subconfed等。

9. 假设172.16.10.0/24该业务网段状态不稳定,时而出现网络中断现象,通过适当配置以减小其对整网的影响

BGP的Dampening 属性可以用来设置减少路由的震荡。

分析需求,增加合理配置,可通过实际测试来验证配置效果。

R3:

bgp 300

  dampening route-policy damp

 技术图片

 

10. 为了提高BGP网络安全性,在EBGP邻居间配置认证

在两个EBGP邻居间分别配置认证,密钥可采用huawei。

注:

simple是明文认证

cipher是MD5认证

RI<=>R2/RI<=>R4/R2<=>R3/R3<=>R6

以RI<=>R2为例(md5认证)

R1:

bgp 100

  peer 10.0.12.2 password cipher huawei

  peer 10.0.14.4 password cipher huawei

R2:

bgp 200

  peer 10.0.12.1 password cipher huawei

  peer 10.0.23.3 password cipher huawei

技术图片

 

11. 修改R2上BGP的存活时间为30s,同时适当调整保持时间

理解BGP计时器的工作原理,掌握修改方法。

BGP的保持激活时间Keepalive默认是60s一次,而保持时间Holdtime则是3倍的激活时间。

R2:

bgp 200
  timer keepalive 30 hold 90

技术图片

 

BGP2

标签:route   工作   业务   tcp   反射   work   port   需要   网络安全   

原文地址:https://www.cnblogs.com/TiAmoLJ/p/11368114.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!